【正文】 2 個核， H(n)＝ 0,理論最高性能 speedup＝ 倍 串行比例 30%， 2 個核， H(n)=40%,實際性能 speedup＝ 倍 也就是說，如果多核之間的并行系統(tǒng)開銷設(shè)計很差，性能可能讓多核不如單核！ 由此可見，在安全并行操作系統(tǒng)中，能否有效降低串行執(zhí)行比例和降低交互開銷決定了能否充分發(fā)揮多核的性能，其中的關(guān)鍵在于：合理劃分任務(wù)、減少核間通信。只有對內(nèi)容進行深度檢測和分析，才能發(fā)現(xiàn)并有效防御。 另一方面，隨著電子政務(wù)、網(wǎng)上辦公、電子商務(wù)等信息化建設(shè)，網(wǎng)絡(luò)中新的服務(wù)和應(yīng)用不斷涌現(xiàn)，需要管理員不停的增加安全策略，以開啟越來越多的對外應(yīng)用端口。 網(wǎng)神防火墻產(chǎn)品的穩(wěn)定性 網(wǎng)神 SecGate3600 防火墻的穩(wěn)定性包括硬件成熟度和技術(shù)穩(wěn)定性兩方面。 中國農(nóng)業(yè)科學(xué)院圖書館項目專用設(shè)備（網(wǎng)絡(luò)安全設(shè)備、工作站、計算機終端）采購 項目（第 3 包） －投標(biāo)書 中國電信集團系統(tǒng)集成有限責(zé)任公司 12 網(wǎng)神防火墻產(chǎn)品的可管理性及節(jié)能性 豐富、安全的管理方式 網(wǎng)神防火墻提供 Web 管理方式（通過網(wǎng)口）、 CLI 命令行管理方式（通過串口），同時還支持遠程撥號（ PPP）管理方式。 完善的系統(tǒng)升級 隨著技術(shù)的飛速發(fā)展和安全需求的不斷延伸，網(wǎng)神防火墻會適時地進行軟件版本升級。 協(xié)議伺服器 —— 支持隨時添加對新型協(xié)議的支持，而不影響原有協(xié)議識別機制。這兩種攻擊的都是利用了網(wǎng)站頁面的腳本編寫不完善，導(dǎo)致攻擊者可以提交精心構(gòu)造的 URL、 FORM表單或 POST 信息，繞過數(shù)據(jù)庫的權(quán)限認(rèn)證（ SQL 注入攻擊），或者是提交發(fā)布一些含有惡意腳本的內(nèi)容，當(dāng)潛在受害者訪問了這些內(nèi)容后，將會泄露自己的私密信息（ XSS 攻擊）。 軟 BYPASS： 在入侵防御引擎關(guān)鍵進程出現(xiàn)異常或需要重新啟動（如軟件升級 ，重置策略等）的情況下，確保鏈路通訊正常。 我們將在中標(biāo)后，對用戶環(huán)境進行充分、詳實的調(diào)研、風(fēng)險分析、業(yè)務(wù)需求分析、安全需求分析后，再為用戶設(shè)計更為合理、可落實為具體操作的設(shè)計方案。新增 IPS 部署為雙路防護。且后期維護也需要投入更多的精力處理由此引起的策略變更等工作。只需要設(shè)置基于現(xiàn)有應(yīng)用的訪問控制策略，確保為應(yīng)用系統(tǒng)及基礎(chǔ)環(huán)境提供安全保障。通過配置管理 IP 地址和 SNMP 協(xié)議，可接受安全管理平臺的統(tǒng)一管理。 7. 主要的管理員負責(zé)改變配置，輔助的管理員僅在主管理員不在時維護，避免沖突。 當(dāng) 本項目中網(wǎng)絡(luò)安全設(shè)備按系統(tǒng)集成需求需要與其它相關(guān)項目或設(shè)備進行集成的部分， 我 方 承諾 無條件配合采購人提出的集成要求 。 安全設(shè)備 支持協(xié)議 本次投標(biāo)采用的網(wǎng)神 SecGate 3600 防火墻 G6079AA 和 天清入侵防御系統(tǒng)NDP1000 支持 IEEE VLAN 協(xié)議， IEEE 協(xié)議為標(biāo)識帶有 VLAN 成員信息的以太幀建立了一種標(biāo)準(zhǔn)方法。 在實施過程中，我方將提供全部設(shè)備安裝所需的各類連接電纜和接插件，其價格 均已包含在合同總價中，如有短缺則將免費提供。 ? 項目控制 —— 審核項目進展?fàn)顟B(tài)，必要時調(diào)集各種備用資源，確保項目按計劃進度實施。 農(nóng)科院 項目經(jīng)理 從合同簽訂之日起， 農(nóng)科院圖書館 指定本次安全服務(wù)項目的負責(zé)人員，主要是對中國電信系統(tǒng)集成公司的項目總負責(zé)人進行接口，協(xié)調(diào) 農(nóng)科院圖書館 的資源，解決項目中需要配合的問題，推進項目的 中國農(nóng)業(yè)科學(xué)院圖書館項目專用設(shè)備（網(wǎng)絡(luò)安全設(shè)備、工作站、計算機終端）采購 項目（第 3 包） －投標(biāo)書 中國電信集團系統(tǒng)集成有限責(zé)任公司 31 進度。 本次投標(biāo)采用的 天清入侵防御系統(tǒng) NDP1000 支持 RIPv1/v OSPF 和 BGP標(biāo)準(zhǔn)動態(tài)路由協(xié)議，可以滿足和 中國農(nóng)業(yè)科學(xué)院 現(xiàn)有網(wǎng)絡(luò)系統(tǒng)在路由層面上進行無縫對接。 此接口可以滿足和 中國農(nóng)業(yè)科學(xué)院 現(xiàn)有網(wǎng)絡(luò)系統(tǒng)無縫對接的需求。 11. 防火墻 和入侵防御系統(tǒng) 上僅有的用戶帳號只能是防火墻 和入侵防御系統(tǒng)的 管理員和備用管理員，只有這些管理員擁有更新系統(tǒng)可執(zhí)行程序 或系統(tǒng)軟件的特權(quán)。 3. 在人員允許的情況下，盡量使防火墻 和入侵防御系統(tǒng) 的管理人員與業(yè)務(wù)系統(tǒng)的管理人員分開。這需要 在路由器上進行 NAT 設(shè)置等方式來彌補內(nèi)網(wǎng) IP 地址暴露的問題。通過配置管理 IP 地址和 SNMP 協(xié)議，可接受安全管理平臺的統(tǒng)一管理。 兩臺防火墻采用 NAT 模式部署，互為備份，通過防火墻對來自互聯(lián)網(wǎng)常見攻擊進行 檢測和阻斷，保護內(nèi)部網(wǎng)絡(luò)系統(tǒng)穩(wěn)定運行。 入侵防御的需求 在邊界防護的基礎(chǔ)上，對經(jīng)過邊界防護設(shè)備訪問控制策略的數(shù)據(jù)，進行深入的入侵檢測、分析， 自動對各類攻擊性的流量，尤其是應(yīng)用層的威脅進行實時阻斷， 保證整個網(wǎng)絡(luò) 的安全性。 天清入侵防御系統(tǒng)支持豐富的多級管理方式：單級管理、多級管理、主輔管理，滿足不同企業(yè)不同管理模式需要。這種基于原理的檢測方式避免了對固化特征 的匹配造成的高漏報率，也避免了由于檢測規(guī)則過于嚴(yán)苛造成的誤報。 上述技術(shù)綜合起來，確保了天清入侵防御產(chǎn)品的最大產(chǎn)品特點：精確阻斷。 啟明星辰天清入侵防御系統(tǒng)的技術(shù)先進性 天清入侵防御 系統(tǒng) 采用了獨創(chuàng) 式的柔性化檢測機制，綜合了基于攻擊原理和基于攻擊特征的兩種檢測手法，既擴大了攻擊檢測的覆蓋面，又保障了檢測的精確度。通過管理員身份認(rèn)證（電子鑰匙認(rèn)證或證書認(rèn)證）、管理主機限制、防火墻管理 IP 限制、防火墻管理方式定義（ Web 管理 /命令行管理 /SSH 方式 /PPP+SSH 連接）、配置信息加密（支持 SSL協(xié)議和 SSH 協(xié)議），提供方便且安全的配置管理。 網(wǎng)神防火墻產(chǎn)品的可擴展性 在滿足本項目安全目標(biāo)的前提下，以不增加項目費用為目標(biāo)，選擇具有最佳擴展能力的產(chǎn)品。防火墻作為最重要的網(wǎng)絡(luò)邊界訪問控制設(shè)備，需要從易用性上做的更多，需要能夠幫助網(wǎng)絡(luò)管理員實時了解內(nèi)網(wǎng)網(wǎng)絡(luò)狀況和隨 時的變化，并能夠幫助他們及時、動態(tài)的調(diào)整安全策略。比如，識別并限制 P2P 占用的帶寬、連接數(shù)，以限制其對網(wǎng)絡(luò)資源的過渡占用；對各種應(yīng)用協(xié)議進行深度檢測并限制其操作權(quán)限，避免其成為黑客攻擊的載體。 異步并行技術(shù)與同步并行技術(shù)相對應(yīng)。 中國農(nóng)業(yè)科學(xué)院圖書館項目專用設(shè)備（網(wǎng)絡(luò)安全設(shè)備、工作站、計算機終端）采購 項目（第 3 包） －投標(biāo)書 中國電信集團系統(tǒng)集成有限責(zé)任公司 8 因此，多核架構(gòu)最能滿足安全產(chǎn)品高性能、低功耗、高靈活性、易升級的要求，更能適應(yīng)安全產(chǎn)品向深層過濾發(fā)展、支持更多應(yīng)用協(xié)議的發(fā)展趨勢。 設(shè)計依據(jù) ? 《信息系統(tǒng)安全管理要求》（ GB/T2026920xx） 中國農(nóng)業(yè)科學(xué)院圖書館項目專用設(shè)備（網(wǎng)絡(luò)安全設(shè)備、工作站、計算機終端）采購 項目（第 3 包） －投標(biāo)書 中國電信集團系統(tǒng)集成有限責(zé)任公司 6 ? 《信息系統(tǒng)安全工程管理要求》（ GB/T2028220xx） ? 《網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（ GB/T2027020xx） 中國農(nóng)業(yè)科學(xué)院圖書館項目專用設(shè)備（網(wǎng)絡(luò)安全設(shè)備、工作站、計算機終端）采購 項目（第 3 包） －投標(biāo)書 中國電信集團系統(tǒng)集成有限責(zé)任公司 7 第 2章 投標(biāo)產(chǎn)品說明 網(wǎng)神防火墻產(chǎn)品的技術(shù)先進性 高性 能多核硬件平臺 由于網(wǎng)絡(luò)安全問題越來越多，近些年網(wǎng)絡(luò)安全技術(shù)得到了快速發(fā)展。 本項目將建設(shè)中國農(nóng)業(yè)科學(xué)院新圖書館網(wǎng)絡(luò)安全系統(tǒng)，并與現(xiàn) 有網(wǎng)絡(luò)環(huán)境進行對接，實現(xiàn)在圖書館內(nèi)部應(yīng)用系統(tǒng)與中國農(nóng)業(yè)科學(xué)院各單位之間搭建安全性更高的專用安全網(wǎng)絡(luò)的目標(biāo)。 20xx 年國內(nèi)外許多領(lǐng)導(dǎo)廠商，都先后推出了其多核安全產(chǎn)品。 整個系統(tǒng)任務(wù)可以按數(shù)據(jù)、功能等多個維度劃分為若干子任務(wù)，分別由不同的核來執(zhí)行這些子任務(wù)。 同時，新的網(wǎng)絡(luò)應(yīng)用層出不窮，網(wǎng)絡(luò)中已經(jīng)不單單是傳統(tǒng)的 HTTP、 MAIL、FTP 等應(yīng)用協(xié)議數(shù)據(jù)了，網(wǎng)絡(luò)視頻、流媒體、在線游戲、即時通信、 P2P 下載等應(yīng)用已經(jīng)成為了網(wǎng)絡(luò)中的“絕對主力”。然而，一些應(yīng)用會同時使用多個端口，而且這些端口會不斷的變化。 硬件成熟度層面： 網(wǎng)神 SecGate3600 防火墻由網(wǎng)神自主研發(fā)，系統(tǒng)高效、可靠，并且采用了高可靠性的硬件平臺和生產(chǎn)工藝，產(chǎn)品出廠前經(jīng)過了 27 道檢測工序，超過 72 小時高溫老化以及 100 小時的高壓力測試，產(chǎn)品穩(wěn)定可靠， MTBF高達 80000 小時，在多個項目中穩(wěn)定使用。上述三種管理方式是一直打開的。防火墻的軟件升級直接通過管理界面進行，用戶只需選擇新的升級軟件包并重啟防火墻即可方便地完成軟件升級。 在攻擊判定階段： 會話內(nèi)和會話間的時序關(guān)聯(lián) —— 有一些攻擊事件可能并不是一個會話，而是由多個會話組合，這就要求檢測設(shè)備可以將多個會話關(guān)聯(lián)起來分析。正是由于這類攻擊所利用的并不是通用漏洞，而是每個頁面自己的缺陷，所以變種和變形攻擊數(shù)量非常多，如果還是以普通的特征匹配方面進行檢測，漏報和誤報率將會極高。 硬 BYPASS： 在入侵防御引擎出現(xiàn)硬件故障或掉電的情況下，確保鏈路通訊正常。 需求分析 邊界防護的需求 中國農(nóng)業(yè)科學(xué)院網(wǎng)絡(luò)需要通過部署邊界防護設(shè)備，實現(xiàn)其與互聯(lián)網(wǎng)之間的安全隔離，并通過該設(shè)備上細化的訪問控制策略，阻斷惡意攻擊及非法訪問，保障中國農(nóng)業(yè)科學(xué)院內(nèi)網(wǎng)到互聯(lián)網(wǎng)的正常 訪問。 IPS具備硬件 BYPASS功能，當(dāng)發(fā)生故障時可以不影響用戶網(wǎng)絡(luò)的正常運行。 中國農(nóng)業(yè)科學(xué)院圖書館項目專用設(shè)備（網(wǎng)絡(luò)安全設(shè)備、工作站、計算機終端）采購 項目（第 3 包） －投標(biāo)書 中國電信集團系統(tǒng)集成有限責(zé)任公司 22 防 火墻 部署策略建議 根據(jù) 中國農(nóng)業(yè)科學(xué)院新圖書館 互聯(lián)網(wǎng)接入 的主要功能和應(yīng)用 ，建議對互聯(lián)網(wǎng)訪問防火墻設(shè)置策略如下： 1. 實現(xiàn)訪問控制 通過在防火墻上配置安全訪問控制策略過濾訪問行為，實現(xiàn)基于協(xié)議、源 /目的 IP 地址、端口的訪問控制，對來自互連網(wǎng)的訪問進行認(rèn)證檢查及內(nèi)容過濾，有選擇的接入； 2. 地址轉(zhuǎn)換 根據(jù)用戶的實際需求進行包括 源網(wǎng)絡(luò)地址 、 目的網(wǎng)絡(luò)地址 、 雙向地址 、 端口映射 、 動態(tài)地址 、靜態(tài)地址以及 多對一、一對多和一對一等多種方式的地址轉(zhuǎn)換方式，確保內(nèi)部網(wǎng)絡(luò)的地址對外部用戶是不可見的； 3. 上網(wǎng)管理 對于內(nèi)部上網(wǎng)進行內(nèi)容及流量控制 ，拒絕內(nèi)網(wǎng)用戶對色情、非法、惡意網(wǎng)頁的訪問，對于連接 ISP 的網(wǎng)絡(luò)設(shè)備進行單一地址的最大流量控制，監(jiān)視常規(guī)流量，對于優(yōu)先級高的應(yīng)用優(yōu)先保證帶寬； 4. 帶寬管理 啟用帶寬管理功能，如當(dāng)某一地址或某地址段對外連接數(shù)超過一定數(shù)量或流量超過一個設(shè)定的閥值時，實現(xiàn)阻斷或流量限制的功能； 5. 身份認(rèn)證 在防火墻上開啟用戶身份認(rèn)證功能，利用防火墻自帶數(shù)據(jù)庫或通過 Radius及 SecureID 和 LDAP 用戶認(rèn)證功能； 6. IPSecVPN 功能 支持 IPSec VPN 功能擴展，可在需要的時候擴展實現(xiàn) IPSec VPN 功能； 7. 應(yīng)用代理 可 通過防火墻實現(xiàn) WWW、 FTP 等應(yīng)用代理； 8. 應(yīng)用限制 嚴(yán)格限制 BT、電驢、 、 MSN 等應(yīng)用； 中國農(nóng)業(yè)科學(xué)院圖書館項目專用設(shè)備（網(wǎng)絡(luò)安全設(shè)備、工作站、計算機終端）采購 項目（第 3 包） －投標(biāo)書 中國電信集團系統(tǒng)集成有限責(zé)任公司 23 9. 內(nèi)容過濾 通過防火墻的 HTTP、 FTP、 SMTP、 POP3 等協(xié)議的內(nèi)容過濾功能，保護終端用戶合法有效地使用各種網(wǎng)絡(luò)資源； 10. 抗攻擊 在防火墻上開啟自動抗攻擊功能，利用防火墻本身的防御功能防止 DoS、端口掃描等攻擊，確保網(wǎng)絡(luò)不被外部黑客攻破； 11. 抗蠕蟲 通過防火墻的蠕蟲過濾等功能保證數(shù)據(jù)庫及服務(wù)器不受來自互聯(lián)網(wǎng)的蠕蟲及網(wǎng)絡(luò)病毒侵害，保障數(shù)據(jù)庫系統(tǒng)正常、高效運行； 12. 實現(xiàn)多種手段報警 防火墻發(fā)現(xiàn)攻擊、非法入侵、未授權(quán)訪問等違 反安全規(guī)則的行為，立即以多種手段（告警、日志、 SNMP 陷阱等）實現(xiàn)違規(guī)行為的告警，并記錄日志，以便查詢。 防火墻透明模式部署方案具有實施方便、快捷，運維簡單，不易出現(xiàn)故障的特點。 網(wǎng)絡(luò)安全系統(tǒng) 運行管理建議 為了充分發(fā)揮 網(wǎng)絡(luò)安全系統(tǒng) 的安全防護功能，需要加強自身的安全管理和操作，制定合理的操作流程和規(guī)范。 8. 每個防火墻 和入侵防御系統(tǒng)的 管理員要提供電話號碼和手機號碼，以備緊急時刻聯(lián)系。相關(guān)項目組織及管理方面的內(nèi)容詳見第 6 章《 項目實施方案 》。 標(biāo)準(zhǔn)定義了 VLAN 網(wǎng)橋操作，從而允許在橋接 局域網(wǎng)結(jié)